[英]URL filtering in php, filter_var or htmlentities
第一个显然是为了这个目的而设计的。
你在防守什么? 漏洞很大程度上取决于数据的使用方式。 它不可能创建一个防止一切的函数调用,混合保护系统(如xss和sql注入)是一个非常糟糕的主意。
对于XSS,您应该使用: htmlspecialchars($var, ENT_QUOTES);
对于mysql中的Sql Injection,你应该使用mysql_real_escape_string($var);
如果要将用户输入传递给system()
或其他类似函数,则应使用escapeshellarg($var);
这些是前三名,混合这些只会造成问题。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.